CVE-2016-6415

Cisco IOS, IOS XR, and IOS XE

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-05-19

Официальное описание

Cisco IOS, IOS XR, and IOS XE contain insufficient condition checks in the part of the code that handles Internet Key Exchange version 1 (IKEv1) security negotiation requests. contains an information disclosure vulnerability in the Internet Key Exchange version 1 (IKEv1) that could allow an attacker to retrieve memory contents. Successful exploitation could allow the attacker to retrieve memory contents, which can lead to information disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2016-6415 (известная как BENIGNCERTAIN) — это критическая уязвимость в реализации протокола IKEv1 (Internet Key Exchange version 1) в операционных системах Cisco IOS, IOS XE и IOS XR. Проблема вызвана недостаточной проверкой условий при обработке пакетов согласования безопасности.

Злоумышленник может отправить специально сформированный IKEv1-пакет на уязвимое устройство. В ответ устройство передает фрагменты содержимого своей оперативной памяти. Это может привести к раскрытию конфиденциальной информации, включая: - Конфигурационные данные. - Закрытые ключи (Private Keys). - Пароли и учетные данные. - Содержимое IP-пакетов других пользователей.

Уязвимости подвержены устройства, на которых включен IKEv1 для организации VPN (L2TP, Site-to-Site IPsec, Remote Access VPN и т.д.). Протокол IKEv2 данной уязвимости не подвержен.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения до версии, в которой данная ошибка исправлена.

  1. Определите текущую версию ОС и наличие активного IKEv1:
show version


show crypto isakmp sa

  1. Проверьте наличие исправлений для вашей ветки ПО на официальном сайте Cisco Software Central.

  2. Выполните обновление образа (пример для IOS):

copy tftp: flash:


conf t


boot system flash:имя_нового_образа.bin


exit


wr mem


reload

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Отключите использование IKEv1, если это допустимо в вашей инфраструктуре, и перейдите на IKEv2.

  2. Настройте списки контроля доступа (ACL), чтобы разрешить IKE-трафик (UDP порты 500 и 4500) только от доверенных IP-адресов (известных пиров VPN):

ip access-list extended BLOCK_IKE_EXPLOIT
permit udp host <TRUSTED_PEER_IP> any eq 500
permit udp host <TRUSTED_PEER_IP> any eq 4500
deny udp any any eq 500
deny udp any any eq 4500
permit ip any any


interface <OUTSIDE_INTERFACE>
ip access-group BLOCK_IKE_EXPLOIT in

  1. Используйте системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга аномальных IKE-запросов.

  2. Отключите неиспользуемые криптографические карты (crypto maps) на интерфейсах, смотрящих в публичные сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей